CVE-2017-1591
https://notcve.org/view.php?id=CVE-2017-1591
IBM WebSphere DataPower Appliances 7.0.0 through 7.6 is vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 132368. IBM WebSphere DataPower Appliances versión 7.0.0 hasta 7.6, es vulnerable a ataques de tipo cross-site scripting. Esta vulnerabilidad permite a los usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, y por lo tanto, alterar la funcionalidad deseada que podría conllevar a la divulgación de credenciales dentro de una sesión confiable. • http://www.ibm.com/support/docview.wss?uid=swg22008815 http://www.securityfocus.com/bid/101021 https://exchange.xforce.ibmcloud.com/vulnerabilities/132368 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2015-7427
https://notcve.org/view.php?id=CVE-2015-7427
IBM DataPower Gateway appliances with firmware 6.x before 6.0.0.17, 6.0.1.x before 6.0.1.17, 7.x before 7.0.0.10, 7.1.0.x before 7.1.0.7, and 7.2.x before 7.2.0.1 do not set the secure flag for unspecified cookies in an https session, which makes it easier for remote attackers to capture these cookies by intercepting their transmission within an http session. Dispositivos IBM DataPower Gateway con firmware 6.x en versiones anteriores a 6.0.0.17, 6.0.1.x en versiones anteriores a 6.0.1.17, 7.x en versiones anteriores a 7.0.0.10, 7.1.0.x en versiones anteriores a 7.1.0.7 y 7.2.x en versiones anteriores a 7.2.0.1 no establece el indicador de seguridad para cookies no especificadas en una sesión https, lo cual hace más fácil para atacantes remotos capturar estas cookies interceptando su transmisión dentro de una sesión http. • http://www-01.ibm.com/support/docview.wss?uid=swg1IT10279 http://www-01.ibm.com/support/docview.wss?uid=swg21969342 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2015-7412
https://notcve.org/view.php?id=CVE-2015-7412
The GatewayScript modules on IBM DataPower Gateways with software 7.2.0.x before 7.2.0.1, when the GatewayScript decryption API or a JWE decrypt action is enabled, do not require signed ciphertext data, which makes it easier for remote attackers to obtain plaintext data via a padding-oracle attack. Los módulos GatewayScript en IBM DataPower Gateways con software 7.2.0.x en versiones anteriores a 7.2.0.1, cuando la API de descifrado GatewayScript o una acción de descifrado JWE está activada, no requiere datos de texto cifrado firmados, lo que hace que sea más fácil para los atacantes remotos obtener datos de texto plano a través de un ataque padding-oracle. • http://www-01.ibm.com/support/docview.wss?uid=swg1IT10701 http://www-01.ibm.com/support/docview.wss?uid=swg21964170 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2013-0499
https://notcve.org/view.php?id=CVE-2013-0499
Cross-site scripting (XSS) vulnerability in the echo functionality on IBM WebSphere DataPower SOA appliances with firmware 3.8.2, 4.0, 4.0.1, 4.0.2, and 5.0.0 allows remote attackers to inject arbitrary web script or HTML via a SOAP message, as demonstrated by the XML Firewall, Multi Protocol Gateway (MPGW), Web Service Proxy, and Web Token services. Una vulnerabilidad de tipo cross-site scripting (XSS) en la funcionalidad echo en dispositivos SOA WebSphere DataPower de IBM con la versión de firmware 3.8.2, 4.0, 4.0.1, 4.0.2 y 5.0.0, permite a los atacantes remotos inyectar script web o HTML arbitrarios por medio de un mensaje SOAP, como es demostrado por los servicios Firewall XML, Multi Protocol Gateway (MPGW), Proxy de servicio web y Token web. • http://seclists.org/bugtraq/2013/May/83 http://www-01.ibm.com/support/docview.wss?uid=swg21637717 https://exchange.xforce.ibmcloud.com/vulnerabilities/82221 https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130523-0_IBM_Xi50_Echo-WebService_Xss_in_Xml_v10.txt • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2010-1612
https://notcve.org/view.php?id=CVE-2010-1612
The IBM WebSphere DataPower XML Accelerator XA35, Low Latency Appliance XM70, Integration Appliance XI50, B2B Appliance XB60, and XML Security Gateway XS40 SOA Appliances before 3.8.0.0, when a QLOGIC Ethernet interface is used, allow remote attackers to cause a denial of service (interface outage) via malformed ICMP packets to the 0.0.0.0 destination IP address. The IBM WebSphere DataPower XML Accelerator XA35, Low Latency Appliance XM70, Integration Appliance XI50, B2B Appliance XB60, y XML Security Gateway XS40 SOA Appliances anterior a v3.8.0.0, cuando una interfaz Ethernet QLOGIC se utiliza, permite a atacantes remotos provocar una denegación de servicio (corte de interfaz) a través de paquetes ICMP malformados a la dirección IP de destino 0.0.0.0. • http://www-01.ibm.com/support/docview.wss?uid=swg1IC61364 http://www-01.ibm.com/support/docview.wss?uid=swg24024770 http://www-01.ibm.com/support/docview.wss?uid=swg24024771 http://www-01.ibm.com/support/docview.wss?uid=swg24024772 http://www-01.ibm.com/support/docview.wss? •